Ξενοδοχειακός όμιλος της Ρόδου θύμα κυβερνοεπίθεσης!

Δύο προκαταρκτικές έρευνες διενεργούνται αρμοδίως από την Εισαγγελία Πλημμελειοδικών Ρόδου για την εξιχνίαση ισάριθμων ηλεκτρονικών επιθέσεων από επιτήδειους σε βάρος γνωστού ξενοδοχειακού ομίλου της Ρόδου, μετά την υποβολή μηνύσεων κατ’ αγνώστων.
Η μηνύτρια είναι ανώνυμη εταιρεία με αντικείμενο δραστηριότητας την αγορά, ανέγερση και εκμετάλλευση ξενοδοχειακών μονάδων και πάσης φύσεως τουριστικών εγκαταστάσεων και επιχειρήσεων στην Ελλάδα και το εξωτερικό, τη μίσθωση και εκμετάλλευση ξενοδοχειακών μονάδων, τη δημιουργία και εκμετάλλευση τουριστικών γραφείων και συναφών επιχειρήσεων, την αγορά, κυκλοφορία και εκμετάλλευση τουριστικών λεωφορείων και πλοίων και κάθε άλλου μεταφορικού μέσου για την εξυπηρέτηση των τουριστικών σκοπών, τη συμμετοχή σε άλλες ομοειδείς επιχειρήσεις στην Ελλάδα και το εξωτερικό και την αντιπροσώπευση ομοειδών επιχειρήσεων του εσωτερικού και του εξωτερικού.
Στο πλαίσιο της ως άνω επιχειρηματικής δραστηριότητάς της, η μηνύτρια διατηρεί μακροχρόνια συνεργασία με τουριστικό πρακτορείο που εδρεύει στην Πολωνία, ενώ, παράλληλα, έχει συνάψει σύμβαση πρακτορείας με εταιρεία στην Ρόδο.
Ως επί το πλείστον, το μεγαλύτερο μέρος των επικοινωνιών της μηνύτριας εταιρείας με τους αντισυμβαλλομένους της, διεξάγεται δια μέσου ηλεκτρονικής αλληλογραφίας, την οποία και διαχειρίζονται 2 αρμόδιες υπάλληλοί της.
Έτσι, και η επικοινωνία της μηνύτριας με τα ως άνω τουριστικά πρακτορεία, πραγματοποιούνταν μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου, στις ηλεκτρονικές διευθύνσεις που κάθε συμβαλλόμενο μέρος είχε υποδείξει.
Από τον Ιούνιο του 2016 έως και τον Οκτώβριο του ίδιου έτους, η μηνύτρια βρισκόταν σε μια «ροή» ηλεκτρονικών συνομιλιών τόσο με το ελληνικό όσο και με το πολωνικό τουριστικό πρακτορείο, προκειμένου να διευθετηθούν εκκρεμότητες και οφειλές εκ της συμβάσεώς τους που αφορούσαν το έτος 2016 και την προκαταβολή για το έτος 2017 για ξενοδοχείο ιδιοκτησίας της μηνύτριας. Ελαβαν χώρα τα κάτωθι πραγματικά περιστατικά:
-Την 8.6.2016, η υπεύθυνη κρατήσεων της μηνύτριας, ενημέρωσε την υπάλληλο του ελληνικού τουριστικού πρακτορείου μέσω αποστολής ηλεκτρονικού μηνύματος ότι πλέον οι αριθμοί τραπεζικού λογαριασμού των εταιρειών του ξενοδοχειακού ομίλου έχουν αλλάξει και ότι στο εξής οι πληρωμές θα πραγματοποιούνται μέσω των αντίστοιχων λογαριασμών των εταιρειών στην Τράπεζα «ALPHA BANK CYPRUS LTD».
-Από την 19.10.2016 έως την 24.10.2016, ακολούθησε η επικοινωνία της μηνύτριας εταιρείας με το πολωνικό τουριστικό πρακτορείο αναφορικά με τη διευθέτηση των σχετικών, με την ως άνω περιγραφόμενη εκταμίευση, εκκρεμοτήτων, μέσω ηλεκτρονικής αλληλογραφίας.
– Την 24.10.2016 συμβαίνει το εξής παράδοξο:
Στις 6:51 μ.μ., εστάλη από άγνωστο μηνυόμενο υπό την ιδιότητα της υπαλλήλου του πολωνικού τουριστικού πρακτορείου ηλεκτρονικό μήνυμα απευθυνόμενο προς την υπάλληλο της μηνύτριας. Στο μήνυμα αυτό η δήθεν υπάλληλος του πολωνικού τουριστικού πρακτορείου αναφέρει ότι έχει προβλήματα ο τραπεζικός λογαριασμός της εταιρείας τους και δίνει εντολή στη δεύτερη να προβεί σε κατάθεση στον τραπεζικό λογαριασμό της πρώτης στην Τράπεζα «Royal Bank of Scotland» (RBS) που αναγράφει στο επίμαχο μήνυμα.
Μετά από λίγες ώρες, ο άγνωστος μηνυόμενος, αντιλαμβανόμενος προφανώς ότι απέστειλε ηλεκτρονικό μήνυμα υπό λαθεμένη ιδιότητα, καθότι, εν προκειμένω, οφειλέτης του ποσού της κατάθεσης είναι το πολωνικό τουριστικό πρακτορείο και δανείστρια η μηνύτρια και όχι το αντίστροφο και άρα δεν δικαιολογείτο να ζητά το πολωνικό τουριστικό πρακτορείο την κατάθεση χρηματικού ποσού στον τραπεζικό του λογαριασμό, αποστέλλει εκ νέου το ίδιο ακριβώς ηλεκτρονικό μήνυμα στην υπάλληλο του πολωνικού τουριστικού πρακτορείου, υπό την ιδιότητα της δήθεν υπαλλήλου της μηνύτριας.
Συγκεκριμένα, η υπάλληλος του πολωνικού πρακτορείου έλαβε ένα ηλεκτρονικό μήνυμα στο οποίο κακόβουλα εμφανίζεται η δήθεν υπάλληλος της μηνύτριας και υποδεικνύει στην υπάλληλο του πολωνικού τουριστικού πρακτορείου, νέο τραπεζικό λογαριασμό της εταιρείας, στον οποίο η τελευταία οφείλει να καταθέσει το οφειλόμενο ποσό, ήτοι σε τραπεζικό λογαριασμό της «Royal Bank of Scotland».
Εν συνεχεία, η υπάλληλος του πολωνικού τουριστικού πρακτορείου, αποστέλλοντας απαντητικό ηλεκτρονικό μήνυμα στην «κακόβουλη» ηλεκτρονική διεύθυνση, ενημέρωσε την φερόμενη ως υπάλληλο της μηνύτριας ότι, προκειμένου να πραγματοποιηθεί η καταβολή στον νέο τραπεζικό λογαριασμό που της υποδείχθηκε, πρέπει να της υποδείξει τον δικαιούχο του τραπεζικού λογαριασμού και να ετοιμάσει το ανάλογο παράρτημα με τα στοιχεία του υποδεικνυόμενου τραπεζικού λογαριασμού για την ολοκλήρωση της σχετικής χρηματικής κατάθεσης.
-Την επόμενη ακριβώς ημέρα, 25.10.2016 και ώρα 8:41 πμ εστάλη ξανά ηλεκτρονικό μήνυμα από την ύποπτης προέλευσης ηλεκτρονική διεύθυνση, στο οποίο κακόβουλα παρουσιαζόταν πάλι η φερόμενη ως υπάλληλος της μηνύτριας, να ζητά την άμεση κατάθεση του ποσού των 11.258,19€ στον λογαριασμό της Τράπεζας RBS και να επισημαίνει ότι η κατάθεση πρέπει να γίνει στα νέα τραπεζικά στοιχεία που υπέδειξε με το ηλεκτρονικό μήνυμα της προηγούμενης ημέρας.
-Την ίδια μέρα 25.10.2016 και ώρα 10:31 πμ, η υπάλληλος του πολωνικού πρακτορείου λαμβάνει μήνυμα, στο οποίο της ζητείται να χρησιμοποιήσει τα ίδια στοιχεία για την περίοδο 2017, ενώ στις 11:04 πμ της επαναπροωθείται η ίδια συνομιλία με τα τραπεζικά στοιχεία και τα αναλυτικά ποσά πληρωμής, στα οποία περιλαμβάνεται και το ποσό των 62.370,56€.
Ως εκ τούτου, η υπάλληλος του πολωνικού τουριστικού πρακτορείου, πεπλανημένα πείσθηκε ότι συνομιλεί πράγματι με την αρμόδια υπάλληλο της μηνύτριας εταιρείας, με την οποία συνομιλούσε απρόσκοπτα καθ’ όλο το προηγούμενο χρονικό διάστημα.
-Την 1.11.2016, και ώρα 9.17 πμ, η υπάλληλος του ελληνικού τουριστικού πρακτορείου, απέστειλε στην έγκυρη ηλεκτρονική διεύθυνση της υπαλλήλου της μηνύτριας, συνημμένα το αποδεικτικό κατάθεσης του οφειλόμενου ποσού των 62.370,56€ σε τραπεζικό λογαριασμό της “RBS”, που είχε υποδείξει ο άγνωστος μηνυόμενος δράστης στην υπάλληλο του πολωνικού τουριστικού πρακτορείου και που πεπλανημένα το πολωνικό τουριστικό πρακτορείο διέλαβε ότι ανήκε πράγματι στην μηνύτρια.
– Αμέσως, την ίδια ημέρα και ώρα 09.06 πμ, η υπάλληλος της μηνύτριας απέστειλε ηλεκτρονικό μήνυμα στην υπάλληλο του πολωνικού τουριστικού πρακτορείου, ενημερώνοντάς την ότι η κατάθεση
πραγματοποιήθηκε σε λανθασμένο τραπεζικό λογαριασμό και ζήτησε να προχωρήσει η διαδικασία βάσει των στοιχείων των τραπεζικών λογαριασμών που είχαν κοινοποιηθεί στο πολωνικό τουριστικό πρακτορείο ήδη από τον Ιούνιο του 2016 και των παραρτημάτων που είχαν υπογραφεί νομίμως από τον νόμιμο εκπρόσωπο της ξενοδοχειακής εταιρείας.
Στη συνέχεια, η ως άνω υπάλληλος του πολωνικού τουριστικού πρακτορείου προώθησε την επίμαχη ηλεκτρονική συνομιλία στην υπάλληλο του ελληνικού τουριστικού πρακτορείου, περιγράφοντας την υφιστάμενη σύγχυση που είχε προκληθεί με τη μηνύτρια εταιρεία, επισημαίνοντας μεταξύ άλλων τις αναντιστοιχίες στα ηλεκτρονικά μηνύματα της μηνύτριας και τις απαιτήσεις της αναφορικά με τις διαδικασίες διεκπεραίωσης της ως άνω συναλλαγής.
Η ξενοδοχειακή εταιρεία υπέβαλε και δεύτερη μηνυτήρια αναφορά.
Πιο συγκεκριμένα στο πλαίσιο της ως άνω επιχειρηματικής δραστηριότητάς της η μηνύτρια είχε συνάψει με ομόρρυθμη εταιρεία στην Ιαλυσό Ρόδου, Ιδιωτικό Συμφωνητικό Τεχνικής Υποστήριξης, καθώς και Ιδιωτικό Συμφωνητικό Εκμετάλλευσης Ηλεκτρονικών Υπολογιστών-Χρήσης Ίντερνετ.
Η αντισυμβαλλόμενη εταιρεία είχε αναλάβει να παρέχει στη μηνύτρια υπηρεσίες τεχνικής υποστήριξης για το δίκτυο τηλεφώνων, τα μηχανήματα μουσικής και τους Η/Υ 2 ξενοδοχείων της. Το κόστος των παρεχόμενων εκ της ως άνω αντισυμβαλλόμενης εταιρείας υπηρεσιών ανερχόταν στο ποσό των 4.420 € συν Φ.Π.Α.. Εν συνεχεία, σύμφωνα με Ιδιωτικό Συμφωνητικό Εκμετάλλευσης Ηλεκτρονικών Υπολογιστών-Χρήσης Ίντερνετ, η αντισυμβαλλόμενη ομόρρυθμη εταιρεία είχε αναλάβει την παροχή υπηρεσιών ίντερνετ προς τα 2 ξενοδοχεία έναντι της αμοιβής 10.000 € συμπεριλαμβανομένου Φ.Π.Α..
Την 23η Δεκεμβρίου 2016 οι ηλεκτρονικοί υπολογιστές του λογιστηρίου και των υπαλλήλων που εργάζονται στο εν λόγω τμήμα της μηνύτριας έπαψαν αιφνιδίως να λειτουργούν, υπό αδιευκρίνιστες συνθήκες. Συγχρόνως, επήλθε αιφνίδια κατάρρευση του κεντρικού server της μηνύτριας εταιρείας.
Αρμόδιος υπάλληλος της αντισυμβαλλόμενης εταιρείας μετά από έλεγχο διαπίστωσε ότι η βλάβη των ηλεκτρονικών υπολογιστών και του server είχε ως αποτέλεσμα την απώλεια όλων των ηλεκτρονικών δεδομένων που ήταν αποθηκευμένα στον κεντρικό server.
Το ηλεκτρονικό αυτό υλικό περιελάμβανε άπαντα οικονομικά στοιχεία της μηνύτριας και των πελατών για όλα τα οικονομικά έτη και κατά βάση για τα έτη 2009-2016. Πέραν τούτου ο τεχνικός ενημέρωσε ότι το πιο πρόσφατο αντίγραφο ασφαλείας (“backup”) των ηλεκτρονικών αρχείων της μηνύτριας αφορούσε τα έτη 2009 και πριν.
Η μηνύτρια απώλεσε όλα τα ηλεκτρονικά αρχεία που αφορούσαν τα οικονομικά δεδομένα της, ενώ κανένα από τα υπεύθυνα στελέχη της μηνύτριας και συνεργαζόμενες εταίρειες δεν είχαν προνοήσει να λαμβάνουν κατά τακτά τουλάχιστον χρονικά διαστήματα αντίγραφο ασφαλείας (“backup”) των οικονομικών στοιχείων για τα έτη από το 2009 μέχρι και σήμερα.
Η ζημία που έχει υποστεί η μηνύτρια λόγω της εν λόγω βλάβης, η οποία ευλόγως εκτιμάται ότι είναι αποτέλεσμα εγκληματικής ενέργειας αγνώστων σε αυτήν δραστών, είναι ανεπανόρθωτη.
Για την ακρίβεια, το τελευταίο έτος, προσπαθεί να έλθει σε συμφωνία βιώσιμης αναχρηματοδότησης των δανείων της με τις πιστώτριες τράπεζες, καθώς και ρύθμισης των υπολοίπων προς τους πάσης φύσεως προμηθευτές των εταιρειών της.
Συνεπώς, εξαιτίας της ανωτέρω αδυναμίας υπολογισμού των πιστωτικών-χρεωστικών υπολοίπων κυρίως των προμηθευτών, οι εταιρείες αδυνατούν να βασιστούν σε αξιόπιστα οικονομικά στοιχεία υπολοίπων για την εξόφληση των προμηθευτών τους, με αποτέλεσμα να καθυστερεί σημαντικά ο διακανονισμός των οφειλών τους.
Περαιτέρω, η εν λόγω βλάβη είχε ως αποτέλεσμα την καθυστέρηση του σχεδιασμού της αναδιάρθρωσης του τραπεζικού δανεισμού της.
Επιπλέον, η μηνύτρια, εξαιτίας της βλάβης αυτής είναι ανά πάσα στιγμή υπόλογη και υπεύθυνη προς τα ελεγκτικά όργανα και τις αρμόδιες αρχές.
Τις υποθέσεις χειρίζεται ο δικηγόρος κ. Τάσος Διάκος.